Trellixは12月14日、国内の経営層や情報システム部門などの22歳以上のビジネスパーソン1000人を対象に実施した「2022年のセキュリティ事件に関する意識調査」の結果を基にした、「2022年の10大セキュリティ事件ランキング」を発表した。同日には、10大セキュリティ事件に関するメディア向け説明会がオンラインで開催された。
同ランキングでは過去1年間(2021年12月~2022年11月)に報道された、主要なセキュリティに関する事件の認知度を基にランク付けをしている。
Trellix セールスエンジニアリング本部 シニアディレクターの櫻井秀光氏は、「サプライチェーンリスクに関連する事件(7位、5位、4位、2位)が4件ランクインする結果となった。2022年はサプライチェーン対策の重要性を再認識する契機となったのではないだろうか」と述べた。
第1位はデータの不正持ち出し、求められるゼロトラストへの転換
第1位には、大手外食チェーンの元役員が競合企業に移籍する際に営業秘密を持ち出し、不正に取得したデータを社内で共有した事件がランクインした。同事件ではUSBフラッシュメモリでデータが持ち出され、入手した情報は移籍先の企業で複数名にメールで転送されていた。
櫻井氏は、「身近にある大手外食チェーンのトップが情報を持ち出したことで注目されたのではないか。従来から企業は、『社員は自社にとって良い存在で、従属している』との前提でセキュリティ対策を実施してきたが、今後は性悪説に基づいたゼロトラストベースの対策に転換する必要がある」と解説した。
企業にはサーバへのアクセスだけでなく、サーバ内のどのデータにアクセスがあったかといったレベルまで監視・制御ができる情報漏洩対策が求められるという。
加えて、企業には意図せずに不正情報を受け入れてしまうリスクが存在するが、事前にリスクを発見するのは難しい。対策としては不正情報を発見した際に内部通報を行える体制をつくり、事実確認や情報のエスカレーションが適切に行われる手順を決めるなどの組織的な対応も必要だ。
第2位には、大手自動車メーカーの主要仕入れ先である部品メーカーがサイバー攻撃を受け、自動車メーカーが国内全14工場、28ラインを停止することになった事件がランクインした。
櫻井氏は、「自社のセキュリティは万全でも、取引先でのセキュリティ侵害が原因で甚大な被害を被ることが現実となった事件だった。大手企業や重要インフラ事業の今後も標的となる可能性は高い。攻撃者は企業の弱い部分を突いてくる。企業は取引先のセキュリティ対策を調査し、リスクがあれば対処する必要がある」と指摘した。
第3位には、2022年2月にロシアのウクライナへの軍事侵攻が開始され、その後も軍事的侵攻、サイバー攻撃、経済制裁などが複合した「ハイブリッド戦争」に発展したことがランクインした。
ロシアの国家的な関与が疑われるサイバー攻撃が、さまざまなセキュリティベンダーから報告されている。
今後も地政学的リスクが高まる恐れがある。あらゆる規模・業種の企業にリスクが存在する中では、サイバー攻撃のTTPs(Tactics、Techniques and Procedures)を分析して、「仮に自分たちが攻撃された場合はどのように対処するか」を事前に考えて取り組む、プロアクティブな対応が重要となる。
業務委託先でのミスや悪意ある情報漏えいに注意
第4位には、電子決済サービスのキャンペーンに参加したユーザーのカード情報がインターネット上で閲覧できる状態になった事件がランクインした。第5位には、関西地方の自治体の業務再々委託先の社員が無断で持ち出したUSBメモリを紛失した事件がランクインした。第6位には、大手自動車部品メーカーの海外現地法人がランサムウェアのサイバー攻撃を受けた事件がランクインした。
第7位には、関西地方の医療機関が外部からの不正アクセスを受けてランサムウェアの被害に遭った事件がランクインした。同事件では給食の業務委託先のシステムよりランサムウェアに侵入された可能性が高いことがわかっている。
第8位には、関東地方の自治体職員が知人の依頼で、住民基本台帳ネットワークシステムにある個人情報を漏えいした事件がランクインした。第9位には、ロシア派のハッカー集団「Killnet」による4省庁23サイトへのサイバー攻撃がランクインした。第10位には、総合旅行会社がEmotetの感染を確認し、なりすましメールが送信されている疑いがあると発表した件がランクインした。
ランキング結果を受けて櫻井氏は、「サイバー攻撃に対しては、多層的な防御で攻撃を成功しにくくすることはもちろん、攻撃が成功してしまった時に迅速に検知・対応する仕組みの実装が必要だ。年々、攻撃手法は洗練され、新たな攻撃手法も登場している。攻撃者の特徴を把握した上で、脅威インテリジェンスを活用した事前の体制、耐性の強化が重要になる」と総括した。
説明会では、従業員数500人以上の民間企業・自治体・団体などのサイバーセキュリティ分野の決裁権者・意思決定者・関与者400人を対象にした「ランサムウェア被害、ビジネスへの影響等に関する実態調査」の結果も発表された。
同調査におけるランサムウェア攻撃の被害状況に関する質問では、「身代金を支払い復旧できた」「身代金を支払ったが復旧できなかった」の合計が前回調査時より9.1ポイント減少した。
身代金を支払わずに復旧できた理由としては、セキュリティ企業が共同で公開しているランサムウェアから復旧するための暗号鍵の利用、あるいはデータのバックアップなどの基本的な対策の実施が挙げられるという。
「“攻撃を受けても身代金は支払わない”という基本対策の啓発の有効性が見られる調査結果と受け止めている。しかし、暗号化されたデータを復旧できたから問題ない、というわけではない。身代金の脅迫だけでなく、データの公開やDDoS攻撃を交えた三重脅迫もある」と述べた。
また、サイバー保険には調査対象者の過半数が加入していたが、そのうちの半数以上は補償内容について「不十分」と回答した。生命保険や損害保険と同様に、サイバー保険も補償範囲外のことは対処されなかったり、追加料金が発生するケースがあるので加入時には注意が必要だ。